Bitdefender unifica seguridad en mercado medio; secuestran actualizaciones de Notepad++ y eScan para distribuir malware
03 de February de 2026Mandiant alerta sobre el regreso de "vishing" sofisticado: Atacantes roban códigos MFA para asaltar plataformas SaaS
Investigadores de la firma de ciberseguridad propiedad de Google identifican una nueva ola de ataques dirigidos que combinan ingeniería social por voz con sitios de phishing para extorsionar a empresas tecnológicas y de criptomonedas.
Un nuevo informe de inteligencia de amenazas de Mandiant ha revelado una expansión significativa en las actividades de grupos de cibercrimen vinculados al estilo de operación de ShinyHunters. Estos atacantes están utilizando técnicas avanzadas de vishing (phishing por voz) para eludir la autenticación de múltiples factores (MFA) y comprometer aplicaciones de software como servicio (SaaS), con el objetivo final de robar datos sensibles y extorsionar a las organizaciones.
Los expertos de Mandiant están rastreando esta actividad bajo varios clústeres, incluidos UNC6661, UNC6671 y UNC6240. Según el informe, los atacantes se hacen pasar por personal de soporte técnico de TI para engañar a los empleados, dirigiéndolos a sitios falsos de inicio de sesión único (SSO) que imitan a la perfección la identidad visual de sus propias empresas.
El "modus operandi": De la llamada telefónica al robo de datos
La metodología es precisa y devastadora:
Ingeniería social: El atacante llama al empleado fingiendo ser de TI y le indica que debe "actualizar su configuración de MFA".
Cosecha de credenciales: La víctima introduce sus credenciales y códigos MFA en un sitio web fraudulento controlado por los atacantes.
Registro de dispositivos propios: Con el acceso obtenido, los atacantes registran sus propios dispositivos en el sistema de la empresa para mantener persistencia.
Exfiltración y extorsión: Los criminales se mueven lateralmente hacia plataformas como SharePoint, OneDrive y cuentas de Okta para descargar información crítica y, posteriormente, exigir pagos de rescate.
Mandiant destaca que, en incidentes recientes, los atacantes han escalado sus tácticas mediante el acoso directo al personal de las víctimas y el uso de cuentas de correo electrónico ya comprometidas para lanzar ataques adicionales contra empresas de criptomonedas.
La falla no es técnica, sino humana
Los analistas de Google Cloud enfatizan que esta oleada de ataques no se debe a vulnerabilidades de seguridad en los productos o en la infraestructura de los proveedores de SaaS. "Esta actividad continúa resaltando la efectividad de la ingeniería social y subraya la importancia de que las organizaciones migren hacia métodos de MFA resistentes al phishing", señala el informe.
Para contrarrestar esta amenaza, los expertos recomiendan:
Adoptar claves de seguridad FIDO2 o Passkeys: Estos métodos son inmunes a los engaños de ingeniería social que afectan a los códigos por SMS o notificaciones push.
Reforzar procesos de Help Desk: Implementar videollamadas en vivo para verificar la identidad de los empleados que solicitan cambios en sus credenciales.
Monitorización de registros de identidad: Auditar cualquier registro de nuevos dispositivos MFA o cambios en el ciclo de vida de las cuentas realizados fuera del horario comercial habitual.
Esta evolución en las tácticas de ShinyHunters demuestra la naturaleza amorfa de los grupos de cibercrimen modernos, que adaptan constantemente sus herramientas para explotar el eslabón más débil de la cadena de seguridad: el factor humano.